精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:虛擬化技術專區 → 正文

CPU虛擬化安全問題及解決方案

責任編輯:editor01 作者:機房360 |來源:企業網D1Net  2012-10-12 07:12:30 原創文章 企業網D1Net

虛擬服務器安全性為什么就不如他們所取代的物理服務器呢?虛擬化安全尤為重要。導致服務器安全級別較低的原因包括:

*許多服務器虛擬化項目實施之初就沒有將虛擬化安全問題考慮在內

*所有的虛擬工作負載存在虛擬軟件受到安全威脅的可能

*不同信任級別的虛擬工作負載通常被整合在單個物理主機上,沒有進行足夠的隔離

*許多企業對管理程序/虛擬機監管層管理訪問的足夠控制和管理工具

這些對虛擬環境的實際威脅以管理程序為中心可以劃分為幾個類別:

黑客攻擊:這會涉及對管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級別上運行的,因為管理程序上運行的任何操作系統都很難甚至不可能偵測到這些虛擬化安全威脅。從理論上來說,控制了管理程序的黑客會控制任何在物理服務器上運行的虛擬機。

虛擬機溢出:會導致虛擬機溢出的漏洞會允許黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。

虛擬機跳躍:與虛擬化溢出類似,虛擬機跳躍會允許攻擊從一個虛擬機轉而去威脅在同一個物理硬件上運行的其他虛擬服務器。

虛擬機被盜:這是一種用電子方式竊取虛擬機文件然后四處傳播和運行的能力。是一種相當于竊取了完整的物理服務器的攻擊,而且無需進入安全的數據中心和移除計算設備。

所有這些威脅方式是當企業部署虛擬化安全環境時,他們使用了一種全新的關鍵任務元素:管理程序。由于對管理程序的成功攻擊會導致對所有托管的工作負載都造成威脅——而對個別虛擬工作負載的成功攻擊也會對管理程序造成威脅,因此企業的管理程序應該被認定為關鍵任務軟件并進行適當的安全防護。

在傳統的IT環境中,網絡流量可以使用一系列服務器安全防護系統來偵測惡意行為以實現監控,檢查和過濾。但是虛擬環境的問題是通過虛擬交互及運行的虛擬機之間的通信很大一部分是無形的:它不是通過有線電纜來實現通信,也就無法用正常方式來實施監控。考利格認為只有一種解決方案可以解決這個問題"那就是必須建立虛擬機到虛擬機的流量可視化和控制".

一個復雜的問題是虛擬數據中心中經常會出現職責的分離。服務器和運營團隊通常負責虛擬交換機的配置和管理。幾乎或者完全沒有綜合性的應用工具和安全控制。對于網絡和安全團隊而言,這會導致實施配置審核可視性的缺失,進而虛擬化安全受到損害。就很難對拓撲和配置變化進行偵測,考利格強調會所"網絡和安全團隊必須掌控訪問層的一舉一動".考利格推薦了以下三種方式來實現這一目標:

1.硬件方式

硬件途徑會涉及迫使ESX主機之間的流量由入侵檢測系統加以審核。考利格描述這個系統的每個ESX托管都配置了獨一無二的出入虛擬本地局域網,配置了虛擬本地局域網的入侵檢測系統要配置每個入口虛擬本地局域網和出口虛擬本地局域網。這樣能保證所有虛擬機到虛擬機的流量可以通過有線發送到入侵檢測系統進行審核,只有干凈的流量才能在每個入口/出口虛擬本地局域網之間進行通行。

2.完全虛擬化的方式

采用這種方式,每個ESX主機都配置了虛擬入侵檢測系統和防火墻,每個虛擬機配置的協議可以判斷什么流量應該被檢測。這種方式能保證所有被許可的內部虛擬機流量都能被檢測到,而且當虛擬機在物理主機之間遷移時,安全協議也會隨之一起遷移,不過不足之處是這種方式是影響數據中心安全架構的性能為代價的。

3.綜合方式

這是一種可以大幅度緩解完全虛擬化方式所導致的數據中心安全的折衷方式。這種方式是在每個虛擬機上運行虛擬轉向器,虛擬機配置了什么流量應該被改變方向-轉向物理入侵檢測系統的協議來進行檢測。入侵檢測系統只允許通過檢測的干凈流量在虛擬機之間進行通行。

關鍵字:解決方案安全問題虛擬化CPU

原創文章 企業網D1Net

x CPU虛擬化安全問題及解決方案 掃一掃
分享本文到朋友圈
當前位置:虛擬化技術專區 → 正文

CPU虛擬化安全問題及解決方案

責任編輯:editor01 作者:機房360 |來源:企業網D1Net  2012-10-12 07:12:30 原創文章 企業網D1Net

虛擬服務器安全性為什么就不如他們所取代的物理服務器呢?虛擬化安全尤為重要。導致服務器安全級別較低的原因包括:

*許多服務器虛擬化項目實施之初就沒有將虛擬化安全問題考慮在內

*所有的虛擬工作負載存在虛擬軟件受到安全威脅的可能

*不同信任級別的虛擬工作負載通常被整合在單個物理主機上,沒有進行足夠的隔離

*許多企業對管理程序/虛擬機監管層管理訪問的足夠控制和管理工具

這些對虛擬環境的實際威脅以管理程序為中心可以劃分為幾個類別:

黑客攻擊:這會涉及對管理程序的干擾或者插入流氓管理程序。由于管理程序是在處理器專屬級別上運行的,因為管理程序上運行的任何操作系統都很難甚至不可能偵測到這些虛擬化安全威脅。從理論上來說,控制了管理程序的黑客會控制任何在物理服務器上運行的虛擬機。

虛擬機溢出:會導致虛擬機溢出的漏洞會允許黑客威脅到特定的虛擬機,將黑客攻擊從虛擬服務器升級到控制底層的管理程序。

虛擬機跳躍:與虛擬化溢出類似,虛擬機跳躍會允許攻擊從一個虛擬機轉而去威脅在同一個物理硬件上運行的其他虛擬服務器。

虛擬機被盜:這是一種用電子方式竊取虛擬機文件然后四處傳播和運行的能力。是一種相當于竊取了完整的物理服務器的攻擊,而且無需進入安全的數據中心和移除計算設備。

所有這些威脅方式是當企業部署虛擬化安全環境時,他們使用了一種全新的關鍵任務元素:管理程序。由于對管理程序的成功攻擊會導致對所有托管的工作負載都造成威脅——而對個別虛擬工作負載的成功攻擊也會對管理程序造成威脅,因此企業的管理程序應該被認定為關鍵任務軟件并進行適當的安全防護。

在傳統的IT環境中,網絡流量可以使用一系列服務器安全防護系統來偵測惡意行為以實現監控,檢查和過濾。但是虛擬環境的問題是通過虛擬交互及運行的虛擬機之間的通信很大一部分是無形的:它不是通過有線電纜來實現通信,也就無法用正常方式來實施監控。考利格認為只有一種解決方案可以解決這個問題"那就是必須建立虛擬機到虛擬機的流量可視化和控制".

一個復雜的問題是虛擬數據中心中經常會出現職責的分離。服務器和運營團隊通常負責虛擬交換機的配置和管理。幾乎或者完全沒有綜合性的應用工具和安全控制。對于網絡和安全團隊而言,這會導致實施配置審核可視性的缺失,進而虛擬化安全受到損害。就很難對拓撲和配置變化進行偵測,考利格強調會所"網絡和安全團隊必須掌控訪問層的一舉一動".考利格推薦了以下三種方式來實現這一目標:

1.硬件方式

硬件途徑會涉及迫使ESX主機之間的流量由入侵檢測系統加以審核。考利格描述這個系統的每個ESX托管都配置了獨一無二的出入虛擬本地局域網,配置了虛擬本地局域網的入侵檢測系統要配置每個入口虛擬本地局域網和出口虛擬本地局域網。這樣能保證所有虛擬機到虛擬機的流量可以通過有線發送到入侵檢測系統進行審核,只有干凈的流量才能在每個入口/出口虛擬本地局域網之間進行通行。

2.完全虛擬化的方式

采用這種方式,每個ESX主機都配置了虛擬入侵檢測系統和防火墻,每個虛擬機配置的協議可以判斷什么流量應該被檢測。這種方式能保證所有被許可的內部虛擬機流量都能被檢測到,而且當虛擬機在物理主機之間遷移時,安全協議也會隨之一起遷移,不過不足之處是這種方式是影響數據中心安全架構的性能為代價的。

3.綜合方式

這是一種可以大幅度緩解完全虛擬化方式所導致的數據中心安全的折衷方式。這種方式是在每個虛擬機上運行虛擬轉向器,虛擬機配置了什么流量應該被改變方向-轉向物理入侵檢測系統的協議來進行檢測。入侵檢測系統只允許通過檢測的干凈流量在虛擬機之間進行通行。

關鍵字:解決方案安全問題虛擬化CPU

原創文章 企業網D1Net

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 蒙阴县| 怀仁县| 松江区| 石林| 新和县| 息烽县| 中牟县| 沙洋县| 浪卡子县| 寿阳县| 陵川县| 青浦区| 十堰市| 中阳县| 探索| 石门县| 句容市| 南部县| 连山| 黔西| 龙海市| 建阳市| 桂阳县| 彭州市| 民勤县| 延安市| 太白县| 洱源县| 永福县| 鲁山县| 西盟| 齐河县| 泽州县| 梁平县| 德兴市| 云林县| 翁牛特旗| 永嘉县| 鹰潭市| 甘洛县| 靖远县|